Bedrock DeFi, un protocollo DeFi basato su Bitcoincon un asset "wrapped", è stato privato di 1,7 milioni di dollari. Il furto di uniBTC è avvenuto appena un giorno dopo un attacco contro Onyx Finance.
Bedrock DeFi è stato sfruttato per 1,7 milioni di dollari in uniBTC, poiché il pool di restaking è stato prosciugato tramite un exploit di smart contract trac Dopo aver analizzato l'attacco, Bedrock ha disattivato il problematico matic contract trac evitando ulteriori exploit . L'hacker è riuscito a coniare uniBTC senza limiti, esponendo potenzialmente tutti i pool e le coppie di trading correlati.
L'exploit è stato inizialmente scoperto dal team di analisi di Dedaub, che ha immediatamente cercato di contattare gli sviluppatori di Bedrock. Tuttavia, meno di tre ore dopo, un altro aggressore ha sfruttato le informazioni raccolte e ha creato uniBTC in eccesso.
Bedrock DeFi ha annunciato che l'exploit ha interessato solo uniBTC, un'altra forma tokenizzata di BTC. Le riserve sottostanti rimangono al sicuro e il protocollo ha risolto il problema. La piattaforma detiene oltre 243 milioni di dollari in asset in staking da diverse reti, tra cui Bitcoin ed Ethereum. Bedrock DeFi mirava a offrire un re-staking liquido multi-catena, in cui gli asset inattivi potevano generare un reddito passivo.
L'asset tokenizzato uniBTC è untracERC-20 sulla catena Ethereum . Il BTC "wrapped" è detenuto in 3.552 indirizzi e ha una capitalizzazione di mercato totale di 75,4 milioni di dollari. Subito dopo l'exploit, alcune delle coppie decentralizzate hanno registrato un'azione straordinaria.
Versioni di uniBTC esistono su un totale di otto reti e alcuni protocolli come Pendle hanno un'esposizione fino a 30 milioni di dollari all'asset, legata al protocollo Corn. Untracvulnerabile simile per il conio di uniBTC stava creando minacce su Ethereum, Binance, Arbitrum, Optimism mainnet, Mantle, Mode, BOB e ZetaChain. I ricercatori di Dedaub hanno messo in guardia Pendle, che ha salvato la maggior parte del valore bloccato dall'essere sfruttato come liquidità di uscita.
L'attacco hacker a uniBTC ha causato un certo contagio sugli exchange decentralizzati. Uno dei pool Uniswap V3 ha visto il prezzo crollare a $ 17.889,15 , mentre un'altra coppia è stata scambiata con uno sconto minore a $ 62.311,48. La versione Optimism della coppia decentralizzata è crollata del 90% , scendendo sotto i $ 18.000. L'asset ha persino raggiunto un nuovo minimo di $ 5.741,48. La pressione di vendita domina, impedendo tentativi di arbitraggio, a causa della scarsa liquidità delle coppie.
Il crollo effettivo del tasso di swap potrebbe aver danneggiato ulteriormente il protocollo, infliggendo anche danni alla reputazione. Ore dopo l'attacco, uniBTC non aveva ancora recuperato la parità con WBTC, che rappresenta la maggior parte delle coppie di scambio.
Come nel caso di altri exploit, i commenti falsi sui social media invitavano a utilizzare un sito web di revoca. Gli utenti del wallet corrono ulteriori rischi derivanti da questi link dannosi, che potrebbero prosciugare i beni rimanenti.
L'hacker ha sfruttato la chiamata di Bedrock altracuniBTC
L'exploit ha interessato il tokenizzato uniBTC, supportato da BTC e WBTC reali. Ricercatori come Dedaub hanno affermato di aver notato la potenziale funzione di exploit di Bedrock, ma l'attacco è avvenuto ore dopo l'avviso.
Dedaub ha osservato che un malintenzionato potrebbe creare infiniti e attaccare caveau e coppie decentralizzate. L'attacco potrebbe potenzialmente colpire Pendle e Corn, oltre a Bedrock DeFi . L'aggressore potrebbe depositare una piccola quantità di ETH e coniare uniBTC a un tasso di cambio diverso. Il nuovo asset coniato sarebbe completamente trasferibile e potrebbe essere rivenduto per più WBTC su Uniswap o altri protocolli decentralizzati.
Un altro ricercatore, Chaofan Shou, ha sottolineato che iltracuniBTC era vulnerabile a una chiamata di funzione. La somma a rischio è stata esaurita con precisione poche ore prima dell'analisi.
Potresti usare ItyFuzz per generare un exploit completamente funzionante che ruba fino a 1,7 milioni di dollari da @Bedrock_ DeFi uniBTC.
E tutto ciò che serve è un core della CPU + 0,5s. pic.twitter.com/SMMD1MSbvT
— Chaofan Shou (@shoucccc) 27 settembre 2024
Le chiamate agli smart contract trac uno dei rischi maggiori, soprattutto dopo l'aumento del valore bloccato nei DeFi . L'attacco a Bedrock DeFi è avvenuto mentre il valore totale bloccato del protocollo era vicino al massimo storico di 243 milioni di dollari .
Ciò che ha salvato il protocollo è stata la natura non custodiale dello staking, che ha permesso all'hacker di rubare l'asset "wrapped" e di influenzare i pool di liquidità del DEX, ma non le riserve sottostanti. Il BTC "wrapped" utilizza spesso cold wallet e non è facilmente convertibile nell'asset originale.
Bedrock utilizza Babylon Labs ed Eigen Layer per realizzare la sua struttura di ricompensa. Questi protocolli sbloccano in modo sicuro il valore di BTC ed ETH, senza esporre direttamente gli asset al rischio. L'uniBTC creato potrebbe essere utilizzato anche su Pendle e Velodrome per ottenere rendimenti passivi.
La maggior parte degli attacchi delle ultime settimane ha colpito DeFibasata su Ethereum. L'attacco attuale ha colpito un asset derivato Bitcoin, sebbene utilizzi ancora la blockchain Ethereum per la maggior parte dei trasferimenti di valore.
Reportage Cryptopolitan di Hristina Vasileva
